Plateforme
wordpress
Composant
fw-food-menu
Corrigé dans
6.0.1
La vulnérabilité CVE-2025-49448 est une faille d'accès arbitraire de fichiers (Path Traversal) découverte dans le plugin FW Food Menu de Fastw3b LLC. Cette vulnérabilité permet à un attaquant de potentiellement accéder à des fichiers sensibles sur le serveur. Elle affecte les versions du plugin antérieures à 6.0.1 et a été publiée le 27 juin 2025. Une version corrigée (6.0.1) est désormais disponible.
Cette vulnérabilité d'accès arbitraire de fichiers permet à un attaquant de contourner les contrôles d'accès et de lire des fichiers situés en dehors du répertoire prévu. En manipulant les paramètres de l'URL, un attaquant peut spécifier un chemin d'accès qui inclut des séquences comme '..' pour remonter dans l'arborescence des répertoires. Cela pourrait permettre l'accès à des fichiers de configuration contenant des informations sensibles, des clés API, des mots de passe, ou même des données de base de données. L'attaquant pourrait également accéder à des fichiers contenant du code source, révélant ainsi des informations sur l'architecture de l'application et d'autres vulnérabilités potentielles. Le risque est exacerbé si le plugin est utilisé dans des environnements partagés, où l'attaquant pourrait potentiellement accéder aux fichiers d'autres sites web hébergés sur le même serveur.
La vulnérabilité CVE-2025-49448 est actuellement publique. Il n'y a pas d'indications d'une exploitation active à grande échelle, mais la nature de la vulnérabilité (Path Traversal) la rend relativement facile à exploiter. La publication de preuves de concept (PoC) est probable. Le KEV status est inconnu à ce jour. Consultez la publication officielle de CVE pour plus d'informations.
WordPress websites utilizing the FW Food Menu plugin are at risk. This includes sites with legacy configurations, shared hosting environments where file permissions may be less restrictive, and those that haven't implemented robust security monitoring practices. Sites using older, unmaintained versions of WordPress are also at increased risk due to potential compatibility issues with the updated plugin.
• wordpress / composer / npm:
grep -r "../" /var/www/html/wp-content/plugins/fw-food-menu/*• generic web:
curl -I 'http://your-wordpress-site.com/wp-content/plugins/fw-food-menu/../../../../etc/passwd' # Check for file disclosure• wordpress / composer / npm:
wp plugin list --status=active | grep 'fw-food-menu'• wordpress / composer / npm:
wp plugin update fw-food-menudisclosure
Statut de l'Exploit
EPSS
0.10% (percentile 26%)
CISA SSVC
Vecteur CVSS
La mitigation principale consiste à mettre à jour le plugin FW Food Menu vers la version 6.0.1 ou supérieure, qui corrige cette vulnérabilité. Si la mise à jour n'est pas immédiatement possible, une solution temporaire consiste à restreindre les permissions du serveur web pour empêcher l'accès aux fichiers sensibles. Il est également possible de configurer un pare-feu d'application web (WAF) pour bloquer les requêtes contenant des séquences de Path Traversal (par exemple, '..'). Surveillez les journaux du serveur web pour détecter des tentatives d'accès suspectes aux fichiers. Après la mise à jour, vérifiez que le plugin fonctionne correctement et qu'il n'y a pas de nouvelles vulnérabilités introduites.
Actualice el plugin FW Food Menu a la última versión disponible para corregir la vulnerabilidad de recorrido de ruta. Verifique las actualizaciones disponibles en el panel de administración de WordPress o a través del repositorio de plugins de WordPress. Asegúrese de realizar una copia de seguridad completa de su sitio web antes de aplicar cualquier actualización.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2025-49448 is a HIGH severity vulnerability allowing attackers to read arbitrary files on a WordPress server through the FW Food Menu plugin. It affects versions before 6.0.1 and requires immediate attention.
You are affected if your WordPress site uses the FW Food Menu plugin and is running a version prior to 6.0.1. Check your plugin versions and upgrade immediately if vulnerable.
Upgrade the FW Food Menu plugin to version 6.0.1 or later. If upgrading is not possible, implement a WAF rule to block path traversal attempts and restrict file permissions.
There is currently no confirmed active exploitation of CVE-2025-49448, but the vulnerability's nature makes it a potential target for opportunistic attacks.
Refer to the official FW Food Menu website or WordPress plugin repository for the latest advisory and update information regarding CVE-2025-49448.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.